Ataques e Defesa para Dispositivos Móveis

Prévia do material em texto

PERGUNTA 1
1. É CORRETO afirmar sobre o Touch ID?
	
	a.
	Está disponível desde a versão 4 do iPhone.
	
	b.
	Todas as alternativas anteriores.
	
	c.
	Por padrão, após 3 tentativas consecutivas de desbloqueio com falha, usando uma impressão digital, as chaves são excluídas do Secure Enclave.
	
	d.
	Com a utilização do Touch ID é possível que os usuários definam uma senha complexa e usem impressões digitais para desbloquear o dispositivo.
	
	e.
	Ao utilizá-lo, o iOS automaticamente cria uma camada de proteção que impede que o um ataque de força bruta contra as senhas em um iPhone tenha sucesso.
PERGUNTA 2
1. Qual a função do Keychain?
	
	a.
	Armazenar aplicativos seguros.
	
	b.
	Armazenar dados no geral.
	
	c.
	Pode ser utilizado para criptografar dados.
	
	d.
	Armazenar dados criptografados.
	
	e.
	Armazenar chaves de criptografia.
PERGUNTA 3
1. Selecione a alternativa CORRETA sobre a segurança de dados em dispositivo iOS:
	
	a.
	Os logs não são gerados na aplicação compilada para envio na Apple Store. Sendo assim, pode ser utilizado de forma irrestrita.
	
	b.
	Recomenda-se desabilitar o uso das classes e geração de logs em ambiente de produção.
	
	c.
	Recomenda-se somente utilizar os Bancos de Dados SQLite por fornecer uma criptografia nativa (AES-256 e GCM) dos dados nele armazenados.
	
	d.
	Recomenda-se utilizar o keychain para armazenar os dados de forma criptografada.
	
	e.
	Todas as alternativas anteriores.
PERGUNTA 4
1. Sobre a Assinatura de código, é CORRETO afirmar:
	
	a.
	A assinatura de código utiliza a chave pública do desenvolvedor para criptografar os dados do aplicativo e garantir sua confidencialidade.
	
	b.
	A assinatura de código utiliza a chave privada do desenvolvedor para criptografar os dados do aplicativo e garantir sua confidencialidade.
	
	c.
	Para a publicação de um aplicativo na Apple Store não é necessário a utilização de assinatura digital.
	
	d.
	A assinatura de código utiliza a chave pública do desenvolvedor para criptografar os dados do aplicativo e garantir que ele é originário de um desenvolvedor registrado na Apple e que o aplicativo não foi alterado desde que liberado pelo seu desenvolvedor.
	
	e.
	A assinatura de código utiliza a chave privada do desenvolvedor para criptografar os dados do aplicativo e garantir que ele é originário de um desenvolvedor registrado na Apple e que o aplicativo não foi alterado desde que liberado pelo seu desenvolvedor.
PERGUNTA 5
1. Complete a frase: O Jailbreak é um processo
	
	a.
	pelo qual se aumenta a segurança do iOS pois adiciona uma camada de segurança (Jail) aos aplicativos.
	
	b.
	Todas as alternativas anteriores estão corretas.
	
	c.
	no qual se quebra a criptografia do iOS com a restauração de um backup.
	
	d.
	que permite a interceptação dos dados através da Rede.
	
	e.
	necessário para ambiente de testes que necessitem de acesso root ao dispositivo.
PERGUNTA 6
1. São ferramentas que auxiliam no processo de Engenharia Reversa:
	
	a.
	Otool, IDA e Code sign.
	
	b.
	BURP, Open SSH e IDA.
	
	c.
	OpenSSH, IDA e NM.
	
	d.
	BURP, NM e Code Sign.
	
	e.
	IDA, Code sign e itunes.
PERGUNTA 7
1. Complete a frase: O Jailbreak é um processo
	
	a.
	feito pela mesma Empresa, adicionando, dessa forma, uma vulnerabilidade comum: sempre a mesma senha SSH.
	
	b.
	No qual se quebra a criptografia do iOS com a restauração de um backup.
	
	c.
	Todas as alternativas anteriores estão corretas.
	
	d.
	pelo qual se aumenta a segurança do iOS pois adiciona uma camada de segurança (Jail) aos aplicativos.
	
	e.
	que permite a interceptação dos dados por meio da Rede.
PERGUNTA 8
1. Com relação à utilização do Protocolo SSL/TLS, selecione a alternativa CORRETA:
	
	a.
	O TLS é um Protocolo que usa criptografia simétrica e assimétrica.
	
	b.
	Todas as alternativas anteriores.
	
	c.
	Somente a utilização do SSL/TLS não garante a confidencialidade dos dados durante uma comunicação de Rede em virtude de possibilidade de falhas na implementação permitir o uso de cifras fracas como RC4, SHA1, DES etc.
	
	d.
	A falta de atenção para avisos de segurança, assim como ignorá-los no Código da Aplicação, pode comprometer a segurança, mesmo utilizando TLS.
	
	e.
	Assim como o SSL o TLS pode ser utilizado em diversos serviços como HTTP, POP3, IMAP.
PERGUNTA 9
Dentro da arquitetura base do iOS, qual camada possui o Módulo de Segurança?
	
	a.
	Cocoa.
	
	b.
	Kernel.
	
	c.
	Core OS.
	
	d.
	Media.
	
	e.
	Core Services.
PERGUNTA 10
Quais fatores devem ser considerados para determinar a segurança de uma aplicação?
	
	a.
	Fabricante do dispositivo, time de desenvolvimento e impacto na Mídia.
	
	b.
	Complexidade de ataque e valor do recurso a ser violado e impacto na Mídia.
	
	c.
	Tempo, complexidade de ataque e valor do recurso a ser violado.
	
	d.
	Facilidade de ataque e tempo.
	
	e.
	Criptografia, valor do recurso e Sistema Operacional.
PERGUNTA 11
De quem é a maior responsabilidade na segurança dos dispositivos Android?
	
	a.
	Fabricantes dos dispositivos (OEMs).
	
	b.
	Google e Fabricantes dos Chips (System-on-Chip Manufacturers).
	
	c.
	Todas as alternativas anteriores.
	
	d.
	Desenvolvedores.
	
	e.
	Carries.
PERGUNTA 12
Faz parte das melhores práticas de segurança Android, EXCETO:
	
	a.
	A utilização do princípio de menor privilégio.
	
	b.
	Não permitir o acesso aos provedores de conteúdo (ContentProvider) do aplicativo.
	
	c.
	Confiar nos serviços.
	
	d.
	Tratamento de falhas.
	
	e.
	Não utilização da segurança pela obscuridade.
PERGUNTA 13
O que difere um aplicativo híbrido de um nativo?
	
	a.
	O aplicativo híbrido e o nativo são semelhantes.
	
	b.
	A segurança difere o aplicativo híbrido pois ele é considerado mais seguro.
	
	c.
	O aplicativo híbrido é mais caro de ser desenvolvido por conta dos módulos de segurança.
	
	d.
	O aplicativo nativo é desenvolvido em apenas uma linguagem e o híbrido em duas.
	
	e.
	O aplicativo híbrido é embarcado numa janela web e possui apenas algumas chamadas de Sistema.
PERGUNTA 14
O Princípio de Menor Privilégio recomenda/define que:
	
	a.
	Para aplicativos do tipo Web Application não há necessidade de se preocupar com privilégio local do aplicativo no dispositivo do cliente pois todas as informações são processadas no servidor remoto.
	
	b.
	Para ações de somente consulta não há necessidade de autenticação do usuário.
	
	c.
	Define que as contas e os aplicativos tenham a menor quantidade de privilégios necessários para executar seus processos de negócio.
	
	d.
	Define chaves de autenticação; portanto não exigem conformações do usuário para acesso aos dados, em vez disso, oferece autenticação por essas chaves simplificando a definição dos privilégios por parte do usuário.
	
	e.
	Todos os dados salvos pelo aplicativo devem ser salvos somente com o privilégio de UID dele.
PERGUNTA 15
1. Qual desses itens caracteriza M10: Funcionalidade Extrínseca?
	
	a.
	Se o aplicativo móvel for capaz de executar anonimamente uma solicitação de serviço de API de back-end sem fornecer um token de acesso, esse aplicativo sofrerá de autenticação insegura; logo, temos uma funcionalidade extrínseca.
	
	b.
	Funcionalidade extrínseca ocorre entre os objetos WebView no seu aplicativo quando não permitem que os usuários naveguem para sites que estão fora de seu controle
	
	c.
	Geralmente, é identificada quando os desenvolvedores incluem a funcionalidade de backdoor oculta ou outros controles de segurança de desenvolvimento interno que não devem ser liberados em um ambiente de produção.
	
	d.
	Todos os itens anteriores caracterizam uma funcionalidade extrínseca.
	
	e.
	Funcionalidade Extrínseca é um processo que permite criar a configuração sem modificar nenhum código do aplicativo.
PERGUNTA 16
1. Quais recursos são necessários para realizar interceptação de um dispositivo Android?
	
	a.
	VPN, ferramentas de interceptação e dispositivo alvo.
	
	b.
	Ferramentas de interceptação e dispositivo alvo.
	
	c.
	Proxy, ferramentas de interceptação e dispositivo alvo.
	
	d.
	VPS,ferramentas de interceptação e dispositivo alvo.
	
	e.
	Proxy, VPN, WI-FI e dispositivo alvo.
PERGUNTA 17
1. QUESTÃO ANULADA, PARA PONTUAR É NECESSÁRIO ASSINALAR QUALQUER UMA DAS ALTERNATIVAS - Segundo o Material, as falhas mais comuns do Android são:
	
	a.
	Questões de permissão de aplicativos, transmissão segura de dados sensíveis, armazenamento de dados seguros, armazenamento de informações através de logs.
	
	b.
	Questões de permissão de aplicativos, transmissão insegura de dados sensíveis, armazenamento de dados inseguros, vazamento de informações através de logs.
	
	c.
	Questões de permissão de aplicativos, transmissão segura de dados sensíveis, armazenamento de dados seguros, vazamento de informações através de logs.
	
	d.
	Questões de permissão de aplicativos, transmissão segura de dados sensíveis, armazenamento de dados inseguros, vazamento de informações através de logs.
	
	e.
	Questões de permissão de aplicativos, transmissão insegura de dados sensíveis, armazenamento de dados inseguros, armazenamento de informações através de logs.
PERGUNTA 18
1. Qual a relevância de informações como fabricante e tipos de arquitetura consumidas por um dispositivo Android, em um ataque?
	
	a.
	Essas informações podem direcionar o ataque de maneira estratégica e assertiva.
	
	b.
	Essas informações são relevantes apenas em alguns casos específicos.
	
	c.
	Essas informações nos ajudam a desenvolver aplicativos mais seguros.
	
	d.
	Não são informações relevantes para o ataque.
	
	e.
	Essas informações são relevantes apenas para análises forenses.
PERGUNTA 19
O que difere um aplicativo híbrido e um nativo?
	
	a.
	O aplicativo híbrido é embarcado numa janela web e possui apenas algumas chamadas de Sistema.
	
	b.
	O aplicativo híbrido e o nativo são semelhantes.
	
	c.
	O aplicativo nativo é desenvolvido em apenas uma Linguagem e o híbrido em duas.
	
	d.
	O aplicativo híbrido é mais caro de ser desenvolvido por conta dos módulos de segurança.
	
	e.
	A segurança difere no aplicativo híbrido, pois ele é considerado mais seguro.
PERGUNTA 20
Selecione a alterativa INCORRETA com relação ao vazamento de dados através de logs:
	
	a.
	Os logs de Sistema também podem ser lidos e podem fornecer informações para um vetor de ataque.
	
	b.
	Os logs não são gerados na aplicação compilada para envio na Play Store. Sendo assim, pode ser utilizado de forma irrestrita.
	
	c.
	Todo aplicativo com permissão READ_LOGS pode obter as mensagens de log geradas pelos aplicativos.
	
	d.
	Todas as alternativas anteriores.
	
	e.
	O uso irrestrito e excessivo de log pode comprometer a segurança.